8.3. 授权
Kafka 集群使用授权来控制特定客户端或用户在 Kafka 代理上允许的操作。如果应用到 Kafka 集群,会为用于客户端连接的所有监听程序启用授权。
如果一个用户被添加到 Kafka 代理配置的 超级用户列表中,无论通过授权机制实施的任何授权限制,用户都可以无限地访问集群。
支持的授权机制:
- 简单授权
- OAuth 2.0 授权(如果您使用基于 OAuth 2.0 令牌的身份验证)
- 开放策略代理 (OPA) 授权
- 自定义授权
简单授权使用 AclAuthorizer
,这是默认的 Kafka 授权插件。AclAuthorizer
使用访问控制列表 (ACL) 来定义哪些用户可以访问哪些资源。对于自定义授权,您可以将自己的 Authorizer
插件配置为强制实施 ACL 规则。
OAuth 2.0 和 OPA 从授权服务器提供基于策略的控制。在授权服务器中定义用于授予对 Kafka 代理资源访问权限的安全策略和权限。
URL 用于连接到授权服务器,并验证客户端或用户请求的操作是允许或拒绝的。用户和客户端与授权服务器中创建的策略匹配,允许访问 Kafka 代理上的特定操作。